Tu cuenta de WhatsApp está vinculada a tu número de teléfono. Si alguien consigue verificar ese número en otro dispositivo, tiene acceso a tu cuenta, tus contactos y potencialmente a tus conversaciones. No es ciencia ficción: el robo de cuentas de WhatsApp es una de las estafas más comunes, y el método más habitual es convencerte de que compartas un código de verificación.
Después de usar WhatsApp intensivamente como herramienta de comunicación personal y profesional durante más de una década, hemos comprobado que la mayoría de usuarios desconocen funciones que llevan años disponibles: mensajes temporales, comunidades, canales, bloqueo con huella dactilar, transferencia de chats entre plataformas y la posibilidad de usar WhatsApp en hasta 4 dispositivos simultáneamente sin que el móvil esté conectado.
Los 5 ajustes de seguridad que deberías tener activados
1. Verificación en dos pasos. WhatsApp > Ajustes > Cuenta > Verificación en dos pasos > Activar. Establece un PIN de 6 dígitos que se pedirá periódicamente y cada vez que alguien intente registrar tu número en otro dispositivo. Sin este PIN, aunque un atacante obtenga tu código SMS, no podrá completar la activación. Es la protección más importante y la que menos gente activa. Si quieres profundizar en la autenticación en dos pasos más allá de WhatsApp, nuestra guía sobre hackeos lo explica en detalle.
2. Bloqueo biométrico de la app. WhatsApp > Ajustes > Privacidad > Bloqueo con huella dactilar (Android) / Bloqueo de pantalla (iPhone). Así, aunque alguien tenga tu móvil desbloqueado, necesita tu huella o Face ID para abrir WhatsApp.
3. Configurar la privacidad de la foto de perfil y estado. WhatsApp > Ajustes > Privacidad. Cambia «Foto de perfil», «Info» y «Estado» de «Todos» a «Mis contactos» o «Mis contactos excepto…». Cuanta menos información personal expongas a desconocidos, menor es el vector de ataque de ingeniería social. Esto conecta directamente con los ajustes de privacidad en redes sociales.
4. Desactiva la descarga automática de medios. WhatsApp > Ajustes > Almacenamiento y datos > Descarga automática. Configura «Nunca» para datos móviles y WiFi. Así evitas que archivos potencialmente maliciosos se descarguen sin tu consentimiento y, de paso, liberas espacio en tu móvil.
5. Revisa los dispositivos vinculados. WhatsApp > Ajustes > Dispositivos vinculados. Aquí ves todas las sesiones abiertas (WhatsApp Web, escritorio). Si ves un dispositivo que no reconoces, cierra esa sesión inmediatamente.
El ataque más común: «Me mandaron tu código por error»
Recibes un SMS con un código de verificación de WhatsApp que no has pedido. Segundos después, un contacto (o alguien haciéndose pasar por uno) te escribe: «Perdona, me equivoqué de número, ¿me puedes reenviar el código que te acaba de llegar?». Si lo envías, acabas de dar acceso a tu cuenta.
La regla es simple: nunca compartas un código de verificación con nadie, bajo ninguna circunstancia. WhatsApp nunca te pedirá un código por chat ni por llamada. Nadie legítimo necesita un código que llega a TU teléfono. El phishing por SMS funciona con el mismo principio.
Qué hacer si ya te robaron la cuenta
Reinstala WhatsApp, introduce tu número y verifica con el nuevo código SMS. Si el atacante activó verificación en dos pasos con SU PIN, tendrás que esperar 7 días para poder verificar sin PIN. Durante ese tiempo, el atacante no puede usar la cuenta tampoco. Informa a tus contactos por otro medio (llamada, otro chat) de que tu cuenta fue comprometida y no hagan caso a mensajes que pidan dinero o datos. Contacta con soporte de WhatsApp enviando un correo a support@whatsapp.com con «Cuenta robada» en el asunto y tu número completo con código de país.
Mi valoración
WhatsApp es la app de mensajería más usada en España (más de 35 millones de usuarios activos), lo que la convierte en objetivo prioritario para estafas. Lo positivo es que protegerse es fácil: activar la verificación en dos pasos tarda 30 segundos y bloquea el 99% de los robos de cuenta. Lo que me sigue preocupando es que Meta recopila metadatos (con quién hablas, cuándo, con qué frecuencia) para publicidad. Si la privacidad total es tu prioridad, Signal es mejor alternativa. Pero para el uso cotidiano, WhatsApp con las configuraciones correctas es razonablemente seguro.
Preguntas frecuentes
¿WhatsApp puede leer mis mensajes?
No. WhatsApp usa cifrado de extremo a extremo (E2EE) por defecto desde 2016: solo tú y tu interlocutor pueden leer los mensajes. Sin embargo, los metadatos (con quién hablas, cuándo, con qué frecuencia, tu dirección IP) sí son accesibles para Meta y se usan para segmentación publicitaria.
¿Las copias de seguridad están cifradas?
Desde 2021, WhatsApp permite activar el cifrado de extremo a extremo en las copias de seguridad de Google Drive e iCloud. Actívalo en Ajustes > Chats > Copia de seguridad > Copia de seguridad cifrada de extremo a extremo. Si no lo activas, tus copias se almacenan sin cifrado E2EE, y Google o Apple podrían acceder al contenido con una orden judicial.
¿Qué hago si me roban la cuenta de WhatsApp?
1) Reinstala WhatsApp e introduce tu número — recibirás un código SMS y la otra persona perderá el acceso. 2) Si el atacante activó la verificación en dos pasos con su PIN, espera 7 días. 3) Contacta support@whatsapp.com con «Cuenta robada» en el asunto. 4) Avisa a tus contactos por otra vía.